Una nueva campaña de phishing se está llevando a cabo en organizaciones estadounidenses con el objetivo de desplegar un troyano de acceso remoto llamado NetSupport RAT. La operación, llamada PhantomBlu, se distingue por su método de explotación matizado que evade la detección al aprovechar la manipulación de plantillas OLE, explotando específicamente las plantillas de Microsoft Office para ejecutar código malicioso. Los ataques comienzan con un correo electrónico de phishing con tema de salario que contiene un documento adjunto de Microsoft Word que instruye a la víctima a ingresar una contraseña y habilitar la edición del documento. Al hacer clic en un icono de impresora incrustado en el documento, se descarga un archivo ZIP que contiene un dropper de PowerShell que recupera y ejecuta un binario de NetSupport RAT desde un servidor remoto.
Los actores de amenazas están abusando cada vez más de los servicios de nube pública y plataformas de alojamiento de datos Web 3.0 para generar URLs de phishing completamente invisibles (FUD). Se ofrecen enlaces FUD en Telegram por vendedores clandestinos a precios a partir de $200 al mes como parte de un modelo de suscripción. Estos enlaces están aún más asegurados mediante barreras antibot para filtrar el tráfico entrante y evadir la detección. Grupos como HeartSender han hecho posible distribuir los enlaces FUD generados a gran escala. Además, los atacantes están reutilizando infraestructuras de alta reputación, como Google Maps y Google Images, con fines maliciosos. La innovación en phishing como servicio y la distribución de malware está en aumento.
Vía The Hacker News
La entrada Nuevo ataque de phishing utiliza un astuto truco de Microsoft Office para desplegar el RAT de NetSupport se publicó primero en News Bender Daily.
